“数证杯”电子数据取证分析大赛致力于成为全国第一大电子数据取证分析大赛，面向所有网络安全从业人员公开征集参赛选手。参赛选手根据所属行业报名参赛赛道，比赛设置冠军、亚军、季军奖。所涉及行业包括能源、金融、通信、取证、安全等企业以及各类司法院校、公安院校、社会院校等。

接着上次美亚杯之后的一个礼拜 迎来了第一届数证杯 出题水平还是很高的 就是逆向部分完全是ctf的题目 那部分 不太会做 边学边做 以赛代练 我们来复盘一下这个比赛 时间有点急 没有全部写完  大部分是自己做题思路 很多地方可能有错误 希望大佬指正

容器文件MD5值：4AAA79BA46C2065FC5C4D5DC97202F3D

通过下方任意链即可下载本次初赛检材：

百度网盘 请输入提取码

提取码：ksen

百度网盘 请输入提取码

提取码：uuk4

容器密码：

/TP2G-h`q#(Ss!EUq,RR:Ss9"@!R"{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;

计算机取证

1.[填空题]
对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为?
(答案格式:大写字母与数字组合，如:D23DDF44)(2分)

用xways 查看磁盘的技术细节

分区二是EFI分区

用火眼计算一下sm3的hash

BDBE1073

2.[填空题]
对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00)(2分)

找一下系统日志编号1074的事件 然后再按照时间顺序排列

2024-10-25 22:57:31

（注意 注销时间不等于电脑关机时间）

3.[填空题]对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为?(填写数字，答案格式如:1234)(2分)

24次

4.[填空题]
对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天?(填写数字，答案格式如:1234)(2分)

让我们仿真进去看一下

win+R 打开 gpedit.msu 本地组策略编辑器

然后再这个路径里面就可以找到 

42天

5.[填空题]
对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为?
(答案格式:1.23)(2分)

在c盘下面的programfiles找到了这个软件 版本是5.86.1

6.[填空题]
对计算机镜像进行分析，该操作系统接入过一名称为“Realtek USB Disk autorun USB Device的USB设备，其接入时分配的盘符为?(答案格式:A:)(2分)

E:

7.[填空题]
对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1)(2分)

192.168.43.1

8.[填空题]
对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的IP地址为?(答案格式:127.0.0.1)(2分)

192.168.188.1

9.[填空题]
对计算机镜像进行分析，写出“吵群技巧.txt”文件SM3值的后8位?(大写字母与数字组合，如:D23DDF44)(2分)

在压缩包里面

之后直接计算sm3

10887AE1

10.[填空题]
对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为?(填写数字，答案格式如:1234)(2分)

找到记录 然后跳转到原始文件的部分 

12849

11.[填空题]
对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的?
(填写汉字，答案格式:阿里云)(2分)

日志文件文件没有内容

在这里找到了

下一次相关的题目直接搜索xfp

然后可以看到ip是

属于亚马逊云

12.[填空题]
对计算机镜像进行分析，获取机主保存在本机的U盾序号的后4位数字为?(填写数字，答案格式如:1234)(2分)

可以在电脑里面找到一个u盾的图片 初步判断应该是加了点东西进去

在线的网站里面没有分析出来密码  然后怀疑是加了一个压缩包或者别的进去

用这个foremost自动分出来文件看看有什么

raddyfiy/foremost: Compile foremost for windows so it can run without cygwin. Check README for instruction to compile for windows.

下载之后直接cmd foremost+文件地址 就可以用了

然后发现里面加了一张照片

后四位6409

还有一个压缩包 里面存的也是这个png

13.[填空题]
对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为?(答案格式:2024)(2分)

在下载栏里面 导出来查看2019

14.[填空题]对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为?
(答案格式:127.0.0.1)(2分)

在浏览器搜索无果 在图片中找到 39.108.126.128

15.[填空题]对计算机镜像进行分析,“环球商贸”服务器配置的登录密码为?
(答案按照实际填写，字母存在大小写)(2分)

仿真进去找到加密的秘钥 然后在线解密一下

网站是这个antontwelve.github.io/finalshellPasswordDecrypter/

HQSM#20231108@gwWeB

16.[填空题]对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是?(答案按照实际填写，字母全小写)(2分)

在刚刚那个文件夹里面还有一个就是pc-server的文件夹

或者也可以用potatotool

17.[填空题]
对计算机镜像进行分析，机主搭建的宝塔面板的安全入口为?
(答案格式:/abc123)(2分)

把镜像放进去就分析出来了

/c38b336a

18.[填空题]
对计算机镜像进行分析，机主搭建的宝塔面板的登录账号为?(答案格式:abcd)(2分)

上面的那个图片也可以看出来 igmxcdsa

19.[填空题] 对计算机镜像进行分析，其搭建的宝塔面板的登录密码为?
(按实际值填写)(2分) 

同样这里也有加盐的密码 但是破解密码破解不出来

这里尝试了好几次发现直接暴力搜 面板密码就可以直接出 以后相似的问题一样解决

20.[填空题]
对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写)(4分)

17859628390

21.[填空题]
对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为?
(按实际值填写)(4分)

这里要返回计算机的检材里面了 密码是123456

22.[填空题]
对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境连接的端口号为?(填写数字，答案格
式如:1234)(2分)

如上提 答案是3306

23.[填空题]接上题，“卡号分组”表所在的数据库名为?
(答案按照实际填写，字母全小写)(4分)

数据库名 a_train2023

24.[填空题]接上题，“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为?(答案格式:1234.56)(4分)

不用仿真进入 mysql连接 直接暴力搜索一下时间 然后发现了那个时间转入了3000余额是6610.94

25.[填空题]对U盘镜像进行分析，其镜像中共有几个分区?(填写数字，答案格式如:1234)(2分)

开始U盘分析 我之前u盘分析都是通过FTK挂载 然后使用DiskGenius 做数据恢复 因为一般u盘都是被删干净了 才会给你做数据恢复 然后这一次很怪 恢复出来什么都没有 

然后可以试试别的软件

比如这个 R-Studio

挂载上去了之后就可以发现有两个分区

26.[填空题]
对U盘镜像进行分析，其中FAT32主分区的FAT表数量有几个?(请使用十进制数方式填写答案，答案格式:1234)(2分)

一个文件系统是ntfs 一个文件系统是FAT32

看这个存储的位置 一共有25个FAT表格项 分别存储在两个部分 所以应该是一共有两个FAT表 

一般默认也是有两个FAT表

27.[填空题]
对U盘镜像进行分析，其中FAT32主分区定义的每扇区字节数为?
(请使用十进制数方式填写答案，答案格式:1234)(2分)

512

28.[填空题]
对U盘镜像进行分析，其中FAT32主分区的文件系统前保留扇区数为?(请使用十进制数方式填写答案，答案格式:1234)(2分）

用Rstudio装载一下 注意要装载的是识别过的

 

用winhex分析

FAT1是第一个扇区 所以前面没有扇区了 

但是 Rstudio查看的发现前面还有一个扇区 可能是导入winhex的时候自动跳过了那个扇区

所以是一个

 很奇怪 分区扫描结果和磁盘扫描记结果不一样

我也不知道到底应该算几个

29.[填空题]
对U盘镜像进行分析，其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为?(请使用十进制数方式填写答案，答案格式:
1234)(2分)

接上题 是2或者是6

30.[填空题]
对U盘镜像进行分析，其中NTFS逻辑分区的$MFT起始簇号为?(请使用十进制数方式填写答案，答案格式:1234)(2分)

39082簇

31.[填空题]
对U盘镜像进行分析，其中NTFS逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案，答案格式:1234)(4分)

上图写了8个扇区

手机取证

1.[填空题]对手机镜像进行分析，机主微信ID号为?
(答案按照实际填写，字母全小写)(2分)

 wxid_gvlyzqeyg83o22

2.[填空题]对手机镜像进行分析，机主在2023年12月登录宝塔面板使用的验证码为?(填写数字，答案格式如:1234)(2分)

482762

3.[填空题]
对手机镜像进行分析，小众即时通讯“鸽哒”应用程序的最后更新时间为?
(答案格式如:1970-01-01 00:00:00)(2分)

2024-09-20 09:25:19

4.[填空题】对手机镜像进行分析，该手机中记录的最后一次开机时间。(答案格式如:1970-01-01 00:00:00)(2分)

2024-10-24 11:27:14

5.[填空题】对手机镜像进行分析，该手机中高德地图APP应用的登录ID为?
(答案按照实际填写)(2分)

找到应用对应的xml文件

240920202902843

6.[填空题]
对手机镜像进行分析，该手机中高德地图APP应用登录账号头像的SHA-256值前8位为?(答案格式:大写字母与数字组合，如:D23DDF44)(2分)

高级过滤到这个路径下面

找到了这个头像 然后算一下sha256 

2C7FD4F7

7.[填空题]
对手机镜像进行分析，其中20220207-20230206的微信账单文件的解压密码为?(答案格式:按实际值填写)(2分)

找到之后用passware跑一下就出来了

847905

8.[填空题]
对手机镜像进行分析，机主在手机中存储的一张复古土砌矮墙照片的拍摄地为哪个城市?(答案格式:北京市)(2分)

找到之后用exiftools泡一下

九江市

9.[填空题]
对手机镜像进行分析，通过AI合成的人脸照片中，有几张照片是通过本机当前安装的AI照片合成工具生成，并有对应记录的?(填写数字，答案格式如:1234)(4分)

先确定了ai合成脸的包名 翻了一下数据库 和xml文件 没有什么有用的信息

然后在data 数据包下面找到缓存的文件

一共有17张

10.[填空题]
对手机镜像进行分析，统计出通讯录号码归属地第二多的省份是?(答案格式:广东)(4分)

导出之后筛选一下就出来了

浙江第二高

11.[填空题]对手机镜像进行分析，找出“季令柏”身份证号后4位为?(答案格式:1234)(2分)

身份证信息png被破坏

前面全被填0了

8043

12.对手机镜像进行分析，找出接收“葵花宝典1.doc”文件使用的应用程序的第一次安装时间为？（答案格式如：1970-01-01 00:00:00） (2分)

安装的软件是tg

2024-09-20 09:29:40

13.对手机镜像进行分析，机主使用的小众即时通讯应用使用的服务器IP为？（答案格式：127.0.0.1） (2分)

163.179.125.64

14.对手机镜像进行分析，机主在哪个平台上发布过转让传奇游戏币的信息，请写出该平台应用APP的包名？（答案格式：com.abcd） (4分)

直接暴力搜索 之后就可以发现是95分

com.jiuwu

15.对手机镜像进行分析，其中有一“双色球”网页的玩法规则中定义的“三等奖”的奖金是多少？（填写数字，答案格式如：1234） (4分)

本来以为暴力搜索可以出来 结果发现是网页内容 不可能会保存整个网页的内容的

所以我们只能去看访问记录

只有这个浏览器 我们去看它的历史记录 发现没有任何的chrome文件 

然后我想到了可能是用tg聊天然后通过tg的网页访问的赌博网站

也有可能是在记事本中找到的

有一个备忘录

将这个文件data区导出来 用filelocator

在文件数据库文件中 找到一个url包含 ssq的网站 这个应该是暗指双色球 浏览器点开看看

找到了是3000元

16.对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的用户ID为？（答案格式：答案按照实际填写） (2分)

2968704175

17.对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的IP地址为？（答案格式：127.0.0.1） (4分)

在文件的mmkv文件夹中

192.168.110.106

或者找不到的话 直接将整个data导出 之后用filelocator进行搜索 

因为一定是内网 所以搜索 192.168

也可以的出来

数据分析

1.对计算机，手机，U盘镜像检材综合分析，找出计算机中VC加密容器使用的登录密钥文件，其中逻辑大小较小的文件占用多少个字节？（答案格式：1234） (4分)

找到了加密容器和秘钥

就算知道了这个也卡了很久没有挂载上 

最后发现 挂载的时候不能直接点加载 要点击 自动加载

这样就会自动挂上H盘

finalshell的ink更小

1172个字节

2.对计算机，手机，U盘镜像检材综合分析，写出存储的“带彩计划.txt”文件的SM3哈希值前8位；（大写字母与数字组合，如：D23DDF44） (2分)

AF30FFAL

3.对计算机，手机，U盘镜像检材综合分析，写出存储的“Shakepay买币，提币流程.ppt”文件在当前分区的起始簇号；（填写数字，答案格式如：1234） (4分)

正好用里面的winhex进行解析 

找到了是44号簇

4.对计算机，手机，U盘镜像检材综合分析，写出存储在手机中，用于访问钱包地址的网站登录密码；（答案按照实际填写，字母全大写） (4分)

发现这里有METAMASK

就用之前手机里面隐藏相册的密码

可以登进去

5.对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址的前8位；（答案格式：abcd1234） (4分)

OX91CCCA

6.对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址私钥的前8位；（答案格式：abcd1234） (4分)

进去点账号 点详细 然后再输入一次密码就可以得到最后的秘钥地址

这里可以看到私钥

E87DCA4C

7.对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的转入金额第三高的“对方卡号”字段的值为？（答案格式：汉字） (2分)

在电脑中找到这三个文件 导出来之后发现是三个加密的文件

因为之前没有提示 所以应该是直接爆破 直接用passware试一下

每一个都可以直接破解 然后出来之后是pdf 将三个导入一个excel进行分析

一共9k条数据 

选转入 然后按次数排序 发现是叫 北贡

8.对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的“对方卡号”字段值为“陈建设”的转出净值为？（填写数字，答案格式如：1234） (2分)

497561

9.对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的交易笔数第三多的数量为？（填写数字，答案格式如：1234） (2分)

207

10-14数据分析 写脚本解决

流量分析

1.分析网络流量包检材，写出抓取该流量包时所花费的秒数？（填写数字，答案格式：10） (2分)

点这里看一下文件的属性

3504

2.分析网络流量包检材，抓取该流量包时使用计算机操作系统的build版本是多少？（答案格式：10D32） (2分)

23F79

3.分析网络流量包检材，受害者的IP地址是？（答案格式：192.168.1.1） (2分)

发现出现了大量的目录扫描 然后目标回复not found

所以

受害应该是这个192.168.75.131

4.分析网络流量包检材，受害者所使用的操作系统是？（小写字母，答案格式：biwu） (2分)

选中一个回复200状态的 然后追踪tcp流就可以看到服务器的操作系统

ubuntu

5.分析网络流量包检材，攻击者使用的端口扫描工具是？（小写字母，答案格式：abc） (2分)

找到最后部分出现的端口扫描内容 然后看几个流

发现出现nmap的代理 所以端口扫描是在使用nmap

6.分析网络流量包检材，攻击者使用的漏洞检测工具的版本号是？（答案格式：1.1.1） (2分)

找到后面目录扫描的内容 使用的工具是Wfuzz 使用的版本是3.1.0

7.分析网络流量包检材，攻击者通过目录扫描得到的 phpliteadmin 登录点是？（答案格式：/abc/abc.php） (2分)

用这个筛选条件 可以看到前面的都是404 这里开始有流量传输了

所以应该是这个/dbadmin/test_db.php

8.分析网络流量包检材，攻击者成功登录到 phpliteadmin 时使用的密码是？（答案格式：按实际值填写） (2分)

追踪tcp流

存储的是明文密码 admin

9.分析网络流量包检材，攻击者创建的 phpinfo 页面文件名是？（答案格式：abc.txt） (4分)

上下翻翻tcp 流 发现3220 这里post了new db 名字是demo.php

10.分析网络流量包检材，攻击者利用服务器漏洞从攻击机上下载的 payload 文件名是？（答案格式：abc.txt） (4分)

开始了sql注入

后面肯定有上穿webshell 看一下上传的有没有txt

发现一个可疑的

找到了这个就是个webshell

所以文件名是rev.txt

11.分析网络流量包检材，攻击者反弹shell的地址及端口是？（答案格式：192.168.1.1:1234） (4分)

Webshell上面写了 192.168.75.132:30127

12.分析网络流量包检材，攻击者电脑所使用的Python版本号是？（答案格式：1.1.1） (2分)

找到版本是 3.11.8

13.分析网络流量包检材，受害者服务器中网站所使用的框架结构是？（答案格式：thinkphp） (2分)

往下翻流

是wordpress

14.分析网络流量包检材，攻击者获取到的数据库密码是？（答案格式：大小写按实际值填写） (4分)

sWfCsfJSPV9H3AmQzw8

15.分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，上传时所使用的端口号为？（答案格式：3306） (2分)

往下翻就可以看到

16.分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，该木马第一次执行时获取到的缓冲区内容是？（答案格式：按实际值填写） (4分)

这个是加密的内容 解密一下就出来了 57638